Как запустить групповые политики

Назначение документа

В инструкции описаны настройки Групповых политик в on-premises инсталляции — какие фичи включить и какие настройки произвести для запуска продукта.

Документ предназначен для использования администраторами организации.

Предварительные условия

1. Доступ к серверу Мессенджер и ВКС.
2. Доступ к веб-интерфейсу установщика VK WorkSpace http://<ваш_домен>:8888.
3. Доступ к серверу VK WorkSpace и к Панели администратора VK WorkSpace https://biz.<ваш_домен>.
4. Доступ к Расширенной панели https://biz.<ваш_домен>/admin.
5. Доступ к Панели работы с внутренними настройками системы https://biz.<ваш домен>/admin/misc.

6. Сетевой доступ между сервисами Мессенджер и ВКС и сервисами VK WorkSpace:

   

   Откуда	Куда	Порт/протокол
   Zastava	Birich (Kafka)	TCP/10032
   Birich (Kafka)	Zastava	TCP/10032
   Zastava	Pub	TCP/12501
   Vipper	Pub	TCP/12501
   Pacman	Pub	TCP/12501
   Pacman	Pub	HTTP

Шаг 1. Включите сервисы групповых политик

Если в Панели администратора VK WorkSpace нет разделов Политики и/или Группы пользователей, выполните настройки, описанные ниже. Если разделы отображаются, перейдите к шагу 2.

1. Перейдите в веб-интерфейс установщика VK WorkSpace по адресу http://<ваш_домен>:8888.
2. Нажмите на кнопку в правом верхнем углу и выберите пункт Продукты.

3. В списке продуктов включите опции:

   • Система групповых политик ( для использования Apache Kafka внутри инсталляции выберите опцию «Kafka внутри инсталляции»):

   

   • Управление размерами ящиков и политиками хранения писем в почтовых ящиках (опция «Система групповых политик» будет выбрана автоматически):

   

   Нажмите на кнопку Сохранить.

4. На главной странице установщика VK WorkSpace нажмите на Сгенерировать автоматически и перезапустите установку контейнеров.

5. Перейдите в Расширенную панель https://biz.<ваш_домен>/admin и включите фичи:

   • в поле Процент установите значение -- 100, в блоке Домены добавьте все необходимые домены, где будет включена фича:

   

   • убедитесь что, фича new-frontend-as-module включена:

   

   Внимание

   Если домен не привязан к фиче, вы не сможете создать в Панели администратора VK WorkSpace группы пользователей и групповые политики.

При включении фичи group-policy будет доступен раздел Политики и групповая политика Управление размерами ящиков и политиками хранения писем в почтовых ящиках. Для включения других групповых политик перейдите к шагу 2.

Шаг 2. Включите фичи политик

В Расширенной панели https://biz.<ваш_домен>/admin включите фичи на 100% на каждый домен, на котором должна работать Групповая политика:

• gp-user-privilege — Групповая политика VIP-пользователей.
• gp_mini_apps_list — Групповая политика доступности мини-аппов в Супераппе VK WorkSpace.
• gp_required_chats_politic — Раздел политики обязательных чатов.
• gp-cloud-folder-permissions, gp-nested-folders, gp-nested-folders-with-path — Групповая политика прав в общих папках. Перед включением этой политики добавьте и запустите в Панели работы с внутренними настройками системы https://biz.<ваш домен>/admin/misc задачу pdd.gp.tasks.gp_add_cloud_folder_permissions_configuration.

Внимание

Если при попытке включить политики VIP-пользователей, доступности мини-аппов и обязательных чатов отображается ошибка 500, обратитесь в техническую поддержку.

Если групповые политики не работают, перезагрузите контейнер pravda:

1. Перейдите в веб-интерфейс установщика VK WorkSpace по адресу http://<ваш_домен>:8888.
2. В списке контейнеров найдите контейнер pravda1.

3. Выполните шаг upload_pravda_defaults:

   

Шаг 3. Получите идентификаторы политик в Панели администратора

Перед выполнением шагов 3 и 4 перейдите в Панель администратора VK WorkSpace и попробуйте создать групповую политику. Убедитесь, что выпадающие списки полей Сервис и Шаблон не пустые:

Если выпадающие списки не пустые, перейдите к шагу 5. Если списки пустые, выполните настройки из шагов 3 и 4:

1. Авторизуйтесь в Панели администратора по адресу https://biz.<ваш домен>/.
2. Перейдите в Панель работы с внутренними настройками системы https://biz.<ваш домен>/admin/misc.
3. На главной странице, в блоке Запрос через Клиент, в поле Клиент: введите GPGetPoliciesClient.

4. Нажмите Отправить.

   

5. В ответ вы получите структуру данных в формате JSON. Среди этих данных находятся идентификаторы групповых политик. Например, начало ответа выглядит так:

   {
     "paging": {
       "results_count": 6
     },
     "data": [
       {
         "id": 2, # Данный идентификатор по каждой политике нужно будет далее указать в веб-интерфейсе установщика VK WorkSpace
         "name": "orderpolicy",
         "title": "Доступность разделов",
         "description": null,
         ...
   

   В блоке data расположен массив объектов с данными о групповых политиках. Рекомендуем скопировать ответ из веб-интерфейса в один из редакторов на вашем компьютере для удобной работы. В этом массиве нужны идентификаторы политик из поля id, этот идентификатор расположен рядом с названиями политики (поля name и title).

Шаг 4. Пропишите идентификаторы политик в переменные окружения

1. В веб-интерфейсе установщика VK WorkSpace перейдите в раздел Настройки → Переменные окружения.

2. В левом боковом меню найдите bizf.

3. Нажмите кнопку редактирования .

4. Нажмите на кнопку + Добавить.

5. Поля Название переменной и Значение переменной заполните в соответствии с таблицей ниже. Идентификаторы политик нужно взять из JSON, полученного на Шаге 3.

   Название переменной	Значение переменной
   GP_MINI_APPS_LIST_POLICY_ID	Идентификатор политики с "name": "orderpolicy"
   GP_REQUIRED_CHATS_POLICY_ID	Идентификатор политики с "name": "obligatory_chats"
   GP_VIP_POLICY_ID	Идентификатор политики с "name": "vipspolicy"
   GP_CLOUD_USER_QUOTA_POLICY_ID	Идентификатор политики с "name": "clouduserquota"
   GP_CLOUD_FOLDER_PERMISSIONS_POLICY_ID	Идентификатор политики с "name": "cloudfolderpermissions"
   GP_CLOUD_FOLDER_PERMISSIONS_AVAILABLE_RIGHTS	Укажите значение: 1,64

6. Нажмите Сохранить:

   

7. Выполните шаг up_container для контейнера bizf.

Если выполнены настройки из шагов 3 и 4, то при создании групповой политики выпадающие списки полей Сервис и Шаблон не будут пустые.

Шаг 5. Запустите скрипты для маппинга фичей

Если групповые политики не работают или есть некорректные названия, описания:

1. Перейдите в веб-интерфейс установщика VK WorkSpace.
2. В списке контейнеров найдите контейнер pravda1.

3. Выполните шаг upload_pravda_defaults:

   

Шаг 6. Включите синхронизацию групп безопасности Active Directory

Внимание

Пропустите данный шаг, если у вас нет Active Directory или не нужна синхронизация групп безопасности.

1. Перейдите в Расширенную панель https://biz.<ваш_домен>/admin и включите фичу gp-immutable-groups.

2. В Панели работы с внутренними настройками системы https://biz.<ваш домен>/admin/misc перейдите в раздел Администрирование → Настройки on-premise → Настройки Active Directory, нажмите на имя домена.

3. Добавьте в конфигурацию AD Loader секцию для групп безопасности:

   "group": {
            "enable": true,
            "group_prefix": "AD",
            "attr_map": {
              "member": "member",
              "cn": "cn",
              "dn": "distinguishedName"
            }
    },
   

4. Поочередно нажмите на кнопки Сегодня и Сейчас.

5. Далее на кнопку Сохранить.

После выполнения настройки в Панели администратора VK WorkSpace, в разделе Группы пользователей, появится таб Автоматические, на нем будут отображаться группы безопасности из Active Directory.